Afin de faciliter la gestion des bases de données et d'en garantir la sécurité, l'accès à WebSphere Commerce doit être limité à des individus et des entreprises spécifiques. Ce processus de restriction des accès est appelé contrôle des accès ou autorisation. Le contrôle des accès peut être défini sous forme de directives de sécurité qui :
- autorisent ou refusent à un utilisateur d'un système l'accès aux ressources gérées par ce système ;
- spécifient le type d'action que l'utilisateur est autorisé à effectuer sur chacune de ces ressources.
Le modèle de contrôle des accès de WebSphere Commerce est basé sur l'application de règles de contrôle des accès. Les règles de contrôle des accès sont mises en application par le gestionnaire des règles de contrôle des accès. En règle générale, lorsqu'un utilisateur tente d'effectuer une action sur une ressource protégée, le gestionnaire des règles de contrôle des accès détermine d'abord les règles de contrôle des accès qui s'appliquent à la ressource, puis, en fonction de ces règles, si l'utilisateur est autorisé à effectuer l'action demandée sur la ressource en question.
L'Administrateur de site gère les règles de contrôle d'accès qui s'appliquent à l'intégralité d'un site, et peut gérer les règles de contrôle des accès régissant son magasin. Pour plus d'informations sur la gestion des règles de contrôle des accès, reportez-vous au manuel WebSphere Commerce Security Guide.
Règles de contrôle des accès
Les différentes entreprises d'un site de commerce électronique nécessitent différents jeux de règles de contrôle des accès. Ainsi, une entreprise vendeuse aura besoin de règles liées aux achats, tandis qu'une entreprise acheteuse n'en aura pas besoin. Pour satisfaire ce type d'exigences, dans WebSphere Commerce, les règles de contrôle des accès sont réparties en groupes de règles de contrôle des accès. Pour qu'une règle de contrôle des accès soit appliquée sur un site, elle doit appartenir à un groupe de règles de contrôle des accès. Puis, en fonction de leurs activités et de leurs besoins de contrôle des accès, les entreprises souscriront aux groupes de règles de contrôle des accès appropriés. L'administrateur de site peut s'abonner à des groupes de règles de contrôle des accès à l'aide de la console d'administration.
Règles de contrôle des accès
Une règle de contrôle des accès autorise un groupe d'utilisateurs à effectuer des actions particulières sur un groupe de ressources de WebSphere Commerce. A moins qu'une ou plusieurs règles de contrôle des accès ne les y autorisent, les utilisateurs n'ont pas nécessairement accès à toutes les fonctions. Les règles de contrôle des accès autorisent un groupe spécifique d'utilisateurs à effectuer des actions particulières sur les ressources d'un groupe de ressources spécifié.
Une règle de contrôle des accès se compose de quatre parties :
- Groupe d'accès : Groupe d'utilisateurs auquel s'applique la règle.
- Groupe d'actions : Groupe d'actions.
- Groupe de ressources : Ressources contrôlées par la règle. Un groupe de ressources peut comporter des objets métier "contrat" ou "commande," ou un ensemble d'instructions associées.
- Relation (facultatif) : Chaque type de ressource peut disposer d'un ensemble de relations qui lui sont associées. Chaque ressource peut comporter un ensemble d'utilisateurs correspondant à chaque relation.
Remarque : Un utilisateur appartenant à un groupe d'accès spécifique est autorisé à exécuter des actions du groupe d'actions spécifié sur des ressources du groupe de ressources spécifié, dans la mesure où cet utilisateur satisfait une relation particulière concernant la ressource.
Les administrateurs de site supervisent les règles de contrôle des accès sur l'ensemble du site. WebSphere Commerce est fourni avec deux ensembles de règles de contrôle des accès par défaut qui peuvent être utilisés en l'état ou être personnalisés. Les règles de contrôles des accès par défaut sont les suivantes :
- Règles standard regroupables (type -2)
- Règles de modèle regroupables (type -3)
Ces deux types de règles doivent appartenir à un groupe de règles pour pouvoir être appliquées au système. Une règle standard regroupable est appliquée une fois aux entreprises souscrivant à un groupe de règles qui contient la règle.
Les règles de modèle regroupables sont dynamiques par nature : elles disposent d'un groupe d'accès sectorisé, lorsque le système est en cours d'exécution, à l'entreprise qui possède la ressource. Par exemple, si ce type de politique est appliqué à une ressource possédée par l'entreprise XYZ, elle vérifie si l'utilisateur a tenu l'un des rôles spécifiés pour cette entreprise ou l'un de ses ancêtres.
Un administrateur de site peut exécuter les tâches suivantes sur la console d'administration :
- Affichage des règles de contrôle d'accès
- Mise à jour d'une règle de contrôle d'accès
- Suppression d'une règle de contrôle d'accès
Ressources et groupes de ressources
Les ressources sont tous les objets du système qui doivent être protégés. Par exemple, les demandes de devis, les ventes aux enchères, les utilisateurs et les commandes constituent des ressources de WebSphere Commerce qui doivent être protégées. Chaque ressource a un propriétaire. La propriété de la ressource peut être utilisée pour déterminer quelles règles de contrôle d'accès s'appliquent à cette ressource.
Un groupe de ressources permet d'identifier un ensemble de ressources associées. Un groupe de ressources peut comporter des objets métier tels qu'un contrat ou un ensemble d'instructions associées. Au niveau du contrôle des accès, les groupes de ressources indiquent à quelles ressources les règles de contrôle d'accès autorisent l'accès. Les groupes de ressources peuvent être explicites ou implicites.
- Les groupes de ressources implicites correspondent à un ensemble d'attributs, par exemple "utilisateurs du service abc", "responsables", "acheteurs", ou au nom de classe Java des ressources.
- Les groupes de ressources explicites sont identifiés par leur nom.
L'ajout de ressources à un groupe implicite, en indiquant leurs attributs, facilite l'autorisation d'accès à de nombreuses ressources sans avoir à indiquer chaque ressource. Cela évite également d'avoir à ajouter ou supprimer une ressource lorsqu'une modification intervient.
L'ajout de ressources à un groupe de ressources explicite, en répertoriant leurs noms, vous permet de regrouper des ressources individuelles qui ne partagent pas nécessairement d'attributs communs.
Remarque : les ressources et les groupes de ressources sont la propriété de l'entreprise racine. Les autres entreprises ne peuvent pas détenir de ressources ni de groupes de ressources. Les demandes de devis ne sont pas disponibles dans WebSphere Commerce Professional Edition.
Un administrateur de site peut exécuter les tâches suivantes sur la console d'administration :
- Visualisation de groupes de ressources
- Mise à jour d'un groupe de ressources
- Suppression de groupes de ressources
Catégorie de ressource
Une catégorie de ressource se réfère à une classe de ressources. Les catégories de ressources sont des classes Java telles que Order (Commande), RFQ (Demande de devis), Auction (Vente aux enchères). Les ressources sont les instances de ces classes. Par exemple, Auction1 créée par l'administrateur de vente aux enchères A est une ressource ; Auction2 créée par l'administrateur de vente aux enchères B est une autre ressource. Ces deux ressources appartiennent à la catégorie de ressource Auction. Toutes les ressources utilisées par les composants de WebSphere Commerce sont enregistrées dans la table ACRESCGRY.
Relations des ressources
Chaque ressource peut avoir une relation associée et un ensemble de membres correspondant à chaque relation. Ainsi, toutes les ressources ont une relation de "propriétaire", qui est détenue par le propriétaire de la ressource. D'autres relations peuvent inclure des destinataires de documents et des fournisseurs d'entrées de catalogue. Ces relations de ressources sont importantes lors de la détermination des personnes autorisées à exécuter certaines actions sur l'instance donnée d'une ressource. Par exemple, le créateur d'un document peut ne pas pouvoir le supprimer alors qu'un visiteur le pourra peut-être. De la même façon, un réviseur peut être autorisé à lire et à accepter un document, mais ne pas pouvoir le transmettre ou effectuer d'autres opérations sur ce document.
Action et groupes d'actions
Les actions sont des séries d'opérations que les utilisateurs peuvent effectuer sur des ressources. Les actions correspondent généralement aux instructions WebSphere Commerce. Si le groupe de ressources est un objet métier tel qu'un contrat, l'action peut être "créer" ou "accepter". Dans WebSphere Commerce, lorsque les instructions s'appliquent à d'autres ressources, elles deviennent des actions. Par exemple, l'instruction UserProfileUpdate peut être appliquée en tant qu'action au profil utilisateur.
Les groupes d'actions sont des groupes d'actions associées. Le groupe AccountManage est un exemple de groupe d'actions incluant les instructions suivantes :
- com.ibm.commerce.account.commands.AccountDeleteCmd
- com.ibm.commerce.account.commands.AccountSaveCmd
Un administrateur de site peut exécuter les tâches suivantes sur la console d'administration :
- Visualisation de groupes d'actions
- Mise à jour d'un groupe d'actions
- Suppression de groupes d'actions
Pour plus d'informations sur le contrôle des accès et les tâches effectuées hors de la console d'administration, reportez-vous au manuel WebSphere Commerce Security Guide.